Bu Help Net Security röportajında Stamus Networks CEO’su Ken Gramley, siber güvenlik ve DevOps ortamlarındaki uyarı yorgunluğunun temel nedenlerini tartışıyor. Uyarı yorgunluğu, güvenlik araçları tarafından oluşturulan olay verilerinin çok büyük hacminden, yanlış pozitiflerin yaygınlığından ve net olay önceliklendirmesi ve eyleme geçirilebilir rehberliğin eksikliğinden kaynaklanmaktadır.
Siber güvenlik ve DevOps ortamlarında uyarı yorgunluğunun başlıca nedenleri nelerdir?
Uyarı yorgunluğu birçok ilgili faktörün sonucudur.
Birincisi, günümüzün güvenlik araçları inanılmaz miktarda olay verisi üretiyor. Bu, güvenlik uygulayıcılarının arka plan gürültüsü ile ciddi tehditler arasında ayrım yapmasını zorlaştırır.
İkincisi, birçok sistem, zararsız faaliyetler veya aşırı hassas anormallik eşikleri tarafından tetiklenen hatalı pozitif sonuçlara eğilimlidir. Bu, önemli saldırı sinyallerini kaçırabilecek defans oyuncularının hassasiyetini azaltabilir.
Uyarı yorgunluğuna katkıda bulunan üçüncü faktör, net bir önceliklendirmenin olmamasıdır. Bu uyarıları üreten sistemler genellikle olayları önceliklendiren ve önceliklendiren mekanizmalara sahip değildir. Bu, uygulayıcıların nereden başlayacaklarını bilmemeleri nedeniyle felç edici eylemsizliğe yol açabilir.
Son olarak, uyarı kayıtları veya günlükler yeterli kanıt ve yanıt rehberliği içermediğinde, savunucular bir sonraki uygulanabilir adımlardan emin olamazlar. Bu kafa karışıklığı değerli zamanı boşa harcar ve hayal kırıklığı ve yorgunluğa katkıda bulunur.
Uyarı yorgunluğunu azaltmak kuruluşlar için önemli bir zorluktur. Bu zorluğun üstesinden gelmek için güvenlik teknolojisi yığınlarını nasıl optimize edebilirler?
Bu gerçekten bir meydan okumadır. Ne yazık ki tüm uyarıları kaydetmeye ve yalnızca daha güvenilir bir sistem tarafından bir olay tespit edildiğinde bunları incelemeye karar veren kuruluşlar gördük. Kaydedilen bu uyarı verileri çoğu zaman bir olay soruşturmasında kritik olabilecek önemli bir kanıt izi içerse de, bu “sakla ve yok say” yaklaşımı ideal çözüm değildir.
Modern bir güvenlik operasyon merkezinin (SOC) en önemli üç bileşeni, ağ algılama ve yanıt (NDR) sistemi, uç nokta algılama ve yanıt (EDR) sistemi ve merkezi analiz motorudur (genellikle bir güvenlik bilgileri ve olay yönetimi (SIEM) ) sistemi). “SOC görünürlük üçlüsü” olarak adlandırılan bu unsurların her biri, uyarı yorgunluğunun azaltılmasında önemli bir rol oynar.
NDR ve EDR sistemleriniz, ilgili etki alanlarındaki ciddi ve yakın tehditleri ultra yüksek hassasiyetle, yani sıfıra yakın yanlış pozitiflerle tespit etmek için güvenilir bir mekanizmaya sahip olmalıdır. Bu, araç setine olan güveni artırır ve güvenlik analistinin bir soruşturma başlatması için bir başlangıç noktası sağlayabilir. Ek olarak, SOC ekibinin araştırması gereken bir sonraki olay aşamasını vurgulamaya hizmet edebilecek bir tür otomatik olay önceliklendirmesi veya önceliklendirme sağlamalıdırlar.
Son olarak, NDR ve EDR, belirli bir güvenlik olayıyla ilgili tüm eserleri toplamalı ve mümkünse, soruşturmayı hızlandırmak ve savunucuların tehdidi herhangi bir hasara yol açmadan önce ortadan kaldırmasına olanak sağlamak için bunları bir olay zaman çizelgesinde ilişkilendirip organize etmelidir.
NDR ve EDR, SIEM’inize yönelik kritik güvenlik telemetri kaynaklarıdır; dolayısıyla uyarı yorgunluğunun azaltılmasında bir sonraki seviyenin gerçekleştiği yer burasıdır. NDR ve EDR’nin SIEM’e gönderdiği her bir olay kaydı veya günlüğü, SIEM analitik motoruna ve kullanıcılarına olay müdahale çabalarını bilgilendirmek için gereken tüm ilgili kanıtları ve ilgili bilgileri sağlayan önemli meta verilerle zenginleştirilmelidir. Ayrıca bu ayrıntılı olay kayıtları, SIEM’in kendisinde ek bir ilişkili tehdit algılama katmanını besleyebilir.
Kuruluşlar, uyarıları zenginleştirmek ve onları daha eyleme geçirilebilir hale getirmek için bağlamsal bilgileri nasıl kullanabilir?
Bu çok kritik. Burada yardımcı olabilecek çeşitli bağlam türleri vardır. Ana bilgisayar adları ve tanıdık ağ adları gibi kuruluşa özgü bilgiler, saldırı altındaki varlıkların veya kötü amaçlı yazılım yaymak için kullanılan varlıkların tanımlanmasını, örneğin tek başına bir IP adresini söylemekten çok daha kolay hale getirebilir. Bu bağlam uyarı kaydına veya günlüğüne dahil edilmediğinde, analistin bu bilgiyi aramak için farklı bir sisteme geçmesi gerekir.
Başka bir bağlam biçimi, ilişkili meta veriler ve yapılar biçiminde gelir. Burada bahsettiğim şey, protokol işlem günlükleri, dosya ekleri ve hatta uyarının gerçekleştiği oturumun tam paket yakalamaları (PCAP’ler) gibi şeylerdir.
Bu ek bilgilerin SOC personelinin bir olayın ciddiyetini, kaynaklarını ve nedenlerini daha hızlı değerlendirmesine yardımcı olduğu ve bu uyarıları çok daha uygulanabilir hale getirdiği kanıtlanmıştır.
Kuruluşlar şeffaflık ihtiyacını hassas bilgilerin ifşa edilmesinin potansiyel riskleriyle nasıl dengeleyebilir?
Bu konu kalbime yakın ve değerli. Stamus Networks olarak, aşırı şeffaflığa ve veri egemenliğine çok güçlü bir bağlılığımız var; bunların her ikisi de bu soruyu etkiliyor. Ancak bu noktaya rağmen şeffaflığı bilgi güvenliği ile dengelemek kuruluşlar için zorlu bir ip yürüyüşüdür. Kuruluşların kullanabileceği çeşitli stratejiler var, ancak burada benim için öne çıkan ve başarılı güvenlik liderlerinin uygulamalarında görmeye eğilimli olduğumuz bazı stratejiler var.
İlk olarak, NIST veya ISO 27001 gibi tanınmış bir güvenlik çerçevesine dayalı bir kontrol programı oluştururlar. Bu yalnızca savunulabilir bir program oluşturmakla kalmaz, aynı zamanda büyük resmi dikkate almalarını ve önemli kontrolleri unutmamalarını sağlar.
Daha sonra sistemlerini ve ağlarını kapsamlı güvenlik izlemeyle donatmaya büyük önem veriyorlar. Bu, ciddi tehditleri ve yetkisiz faaliyetleri öldürme zincirinde daha erken tespit etmelerine olanak tanır.
Ek olarak, bu kuruluşlar hangi bilgilerin paylaşılabileceğini ve paylaşılamayacağını özetleyen açık ve şeffaf bir iletişim planı geliştirir. Bu güven oluşturur ve kuruluş içinde ve paydaşlar arasında kafa karışıklığını önler.
Son olarak, bu kuruluşlar, verilerinin nerede bulunduğuna ve nerede işlendiğine özellikle dikkat ediyor ve benim “aşırı veri egemenliği” olarak adlandırdığım, veri yerleşimi ve işlenmesi üzerinde sıkı kontrol sağlayan şeyi uyguluyorlar.
Siber güvenlikte şeffaflığı ve hesap verebilirliği teşvik etmede düzenleyici gereklilikler ve endüstri standartları nasıl bir rol oynuyor?
Düzenleyici gereklilikler ve endüstri standartları, hem ihlallerin ifşa edilmesini hem de güçlü siber güvenlik kontrollerinin uygulanmasını teşvik ederek şeffaflığın ve hesap verebilirliğin desteklenmesinde önemli bir rol oynamaktadır. ABD’de SEC’in Form 8-K kayıtları ve Avrupa Birliği’nde GDPR gibi düzenlemeler, veri ihlallerinin yetkililere ve bazı durumlarda etkilenen kişilere bildirilmesini zorunlu kılmaktadır. Bu, kuruluşları güvenlik olayları konusunda açık olmaya, kamu bilincini artırmaya ve olası örtbas etme olaylarını önlemeye zorlamaktadır.
SEC’in 10-K dosyalama zorunluluğu, kamu şirketlerinin siber güvenlik programlarıyla ilgili ayrıntıları açıklamasını gerektiriyor. Benzer şekilde, temel hizmet sağlayıcılara odaklanan AB’nin NIS Direktifi, onları risk yönetimi tedbirlerini uygulamaya zorlamaktadır. Bu kontrolleri görünür hale getirerek paydaşlar (ve hissedarlar) bir kuruluşun siber güvenlik duruşunu değerlendirebilir ve onları güçlü savunmaların sürdürülmesinden sorumlu tutabilirler.
Kuruluşlar şeffaflığı ve hesap verebilirliği geliştirmek için yeni teknolojilerden ve çerçevelerden nasıl yararlanabilir?
Daha önce bahsettiğim “SOC görünürlük üçlüsünün” unsurları – NDR, EDR ve SIEM, yardımcı olabilecek kritik yeni teknolojiler arasındadır. Bu sistemler ağları sürekli olarak şüpheli etkinliklere karşı izleyerek tehditlerin daha hızlı tanımlanmasına ve azaltılmasına olanak tanır. Gerçek zamanlı tehdit tespiti, kuruluşların devam eden tehditler ve gerçekleştirilen eylemler hakkında iletişim kurabilmesi nedeniyle şeffaflığı artırır.
Siber güvenlik çerçevelerinin öneminden daha önce bahsetmiştim; bu çerçeveler kuruluşların siber saldırıları belirlemesine, korumasına, tespit etmesine, yanıt vermesine ve kurtarmasına yardımcı olur. Kuruluşlar, çerçevelere dayalı yaklaşımlarını kamuya açıklayarak siber güvenliğe olan bağlılıklarını gösterirler ve yerleşik süreçlerini takip etmekten sorumlu tutulabilirler.